Phân Tích Chiến Dịch APT/Malware và Lỗ Hổng: Khai Thác Plugin WordPress
Tổng Quan
Nhiều lỗ hổng nghiêm trọng đã được công bố, ảnh hưởng đến các plugin WordPress phổ biến, khiến hơn 100.000 trang web WordPress có nguy cơ bị xâm phạm. Những lỗ hổng này cho phép kẻ tấn công không cần xác thực giành quyền quản trị viên hoặc tải lên các tệp độc hại bất kỳ, dẫn đến khả năng kiểm soát toàn bộ trang web và gây rò rỉ dữ liệu.
Thông Tin Chi Tiết về CVE và Kỹ Thuật
CVE-2025-47577: Tải Lên Tệp Bất Kỳ trong Plugin TI WooCommerce Wishlist
- Plugin bị ảnh hưởng: TI WooCommerce Wishlist (tất cả phiên bản ≤ 2.9.2 tính đến ngày 29/11/2024)
- Ảnh hưởng: Cho phép kẻ tấn công không cần xác thực tải lên các tệp độc hại bất kỳ lên máy chủ.
- Điểm CVSS: 10.0 (Critical)
- Loại lỗ hổng: Tải lên tệp bất kỳ mà không cần xác thực.
- Nguyên nhân kỹ thuật:
- Hàm dễ bị tấn công:
tinvwl_upload_file_wc_fields_factory. - Sử dụng hàm WordPress gốc
wp_handle_uploadđể kiểm tra, nhưng ghi đè các tham số:"test_form"được đặt thànhfalse, vô hiệu hóa việc xác minh tham số$_POST['action']."test_type"được đặt thànhfalse, vô hiệu hóa kiểm tra loại MIME.
- Việc này cho phép tải lên tệp với bất kỳ loại nội dung nào mà không có kiểm tra hợp lệ.
- Hàm dễ bị tấn công:
Lưu ý: Hiện tại chưa có bản vá (patch) nào được cung cấp tại thời điểm công bố.
CVE-2025-47539: Leo Thang Quyền Hạn qua Plugin Eventin
Hơn 10.000 trang web WordPress sử dụng plugin Eventin bị ảnh hưởng bởi một lỗ hổng nghiêm trọng, cho phép kẻ tấn công giành quyền quản trị viên. Điều này dẫn đến việc kiểm soát hoàn toàn trang web, bao gồm nguy cơ rò rỉ dữ liệu như truy cập trái phép, sửa đổi hoặc xóa thông tin nhạy cảm.
Các Lỗ Hổng Nổi Bật Khác được CISA Đề Cập
| CVE | Thành Phần Bị Ảnh Hưởng | Mô Tả | Mức Độ Nghiêm Trọng (CVSS) |
|---|---|---|---|
| CVE-2025-4635 | JCT Airpointer Diagnostics Module | Người dùng quản trị viên có thể thao túng module chẩn đoán để thực thi mã từ xa với vai trò người dùng quyền thấp. | 6.6 |
| CVE-2025-4634 | JCT Airpointer Web Portal | Lỗ hổng Local File Inclusion cho phép người dùng quản trị xem các tệp hệ thống. | 4.1 |
| CVE-2025-4595 | FastSpring WP Plugin | Stored XSS qua thuộc tính ‘color’ trong khối danh mục sản phẩm; yêu cầu quyền truy cập cấp contributor. | 6.4 |
Nền Tảng và Plugin Bị Khai Thác
Các nền tảng và plugin WordPress phổ biến bị khai thác chính bao gồm:
| Nền Tảng/Plugin | Mô Tả |
|---|---|
| TI WooCommerce Wishlist | Plugin danh sách mong muốn cho thương mại điện tử với hơn 100.000 lượt cài đặt; dễ bị tấn công do xử lý tải lên tệp không đúng cách. |
| Eventin | Plugin quản lý lịch/sự kiện với lỗ hổng leo thang quyền hạn. |
| FastSpring | Plugin liên quan đến thương mại điện tử trên WordPress, dễ bị tấn công stored XSS. |
Chiến Thuật, Kỹ Thuật và Quy Trình (TTPs)
Dù không có mã định danh kỹ thuật MITRE ATT&CK cụ thể, các kỹ thuật suy ra bao gồm:
- Leo Thang Quyền Hạn: Đạt được quyền quản trị viên thông qua khai thác lỗ hổng trong plugin Eventin (CVE-2025-47539).
- Truy Cập Ban Đầu/Thực Thi: Tải lên tệp bất kỳ không cần xác thực, cho phép thực thi mã từ xa hoặc triển khai web shell qua TI WooCommerce Wishlist (CVE-2025-47577).
- Duy Trì/Tránh Phát Hiện: Sử dụng tệp độc hại đã tải lên có khả năng để duy trì quyền truy cập trên máy chủ bị xâm phạm.
- Tấn Công Ứng Dụng Web: Tấn công Stored Cross-Site Scripting (XSS) thông qua việc kiểm tra đầu vào không đầy đủ của plugin FastSpring (CVE-2025-4595).
Khuyến Nghị Bảo Mật và Biện Pháp Khắc Phục
Do một số lỗ hổng như CVE-2025-47577 chưa có bản vá, các biện pháp giảm thiểu ngay lập tức bao gồm:
- Vô hiệu hóa các plugin bị ảnh hưởng cho đến khi bản vá được cung cấp.
- Theo dõi nhật ký máy chủ web để phát hiện các hoạt động tải lên tệp đáng ngờ, đặc biệt nhắm đến hàm
tinvwl_upload_file_wc_fields_factory. - Áp dụng kiểm tra loại MIME nghiêm ngặt cho tất cả nội dung được tải lên nếu có các kiểm soát tùy chỉnh.
- Thực hiện nguyên tắc quyền tối thiểu cho các vai trò người dùng trong bảng quản trị WordPress.
- Kích hoạt cập nhật tự động nếu có thể và duy trì sao lưu thường xuyên.
Bảng Tổng Kết
| Lỗ Hổng/CVE | Thành Phần Bị Ảnh Hưởng | Ảnh Hưởng | Trạng Thái Bản Vá |
|---|---|---|---|
| CVE-2025-47577 | TI WooCommerce Wishlist | Tải Lên Tệp Bất Kỳ → Kiểm Soát Toàn Bộ Trang Web | Chưa có bản vá |
| CVE-2025-47539 | Eventin Plugin | Leo Thang Quyền Hạn → Kiểm Soát Quản Trị Viên | Trạng thái bản vá không xác định |
Bài viết này cung cấp phân tích kỹ thuật chi tiết về các lỗ hổng có tác động lớn gần đây, ảnh hưởng đến hơn 100.000 trang web WordPress, chủ yếu thông qua các plugin bên thứ ba dễ bị khai thác do lỗi kiểm tra đầu vào và lỗ hổng leo thang quyền hạn.
